DSGVO & Compliance

KI im Recruiting ohne DSGVO-Strategie? Das wird teuer — bis zu 20 Millionen Euro teuer

24. März 2025 ShortSelect Team · Redaktion 8 Min.
KI DSGVO Bußgeld Art. 22 Transparenz Compliance

Das Risiko, über das niemand spricht

Sie haben KI in Ihr Recruiting eingebaut. Vielleicht ein CV-Parsing-Tool, das Lebensläufe automatisch bewertet. Vielleicht ein Matching-Algorithmus, der Kandidaten ranked. Vielleicht ein Chatbot, der Bewerber vorqualifiziert. Sie fühlen sich innovativ. Modern. Effizient. Was Sie vermutlich nicht haben: eine DSGVO-Strategie dafür. Und das könnte Sie bis zu 20 Millionen Euro kosten.

Das ist keine Panikmache. Das ist Artikel 83 der Datenschutz-Grundverordnung. Die maximale Geldbuße für Verstöße gegen Grundsätze der Verarbeitung — wozu automatisierte Entscheidungsfindung gehört — beträgt bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Und die Aufsichtsbehörden schauen seit 2024 genauer hin als je zuvor.

Artikel 22 DSGVO, Absatz 1: „Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt."

Lesen Sie das nochmal. „Nicht unterworfen zu werden." Das ist kein Kann, kein Sollte, kein „wäre schön". Das ist ein Recht. Und eine Ablehnung im Bewerbungsprozess ist definitiv eine Entscheidung, die jemanden „erheblich beeinträchtigt".

Was „automatisierte Entscheidung" im Recruiting bedeutet

Viele Recruiter und HR-Verantwortliche glauben, Art. 22 betreffe sie nicht. „Wir nutzen ja nur ein Ranking — die finale Entscheidung trifft immer ein Mensch." Das ist die häufigste Ausrede. Und sie ist gefährlich falsch.

Wann liegt eine automatisierte Entscheidung vor?

Eine automatisierte Entscheidung im Sinne von Art. 22 liegt vor, wenn ein System ohne menschliches Eingreifen eine Entscheidung trifft, die rechtliche Wirkung hat oder den Betroffenen erheblich beeinträchtigt. Im Recruiting bedeutet das konkret:

  • KI sortiert Bewerbungen aus: Wenn Ihr System automatisch Kandidaten herausfiltert, die einen bestimmten Score nicht erreichen — und diese Kandidaten nie von einem Menschen gesehen werden — ist das eine automatisierte Entscheidung. Punkt.
  • Chatbot qualifiziert vor: Wenn ein Chatbot Screening-Fragen stellt und Kandidaten basierend auf den Antworten automatisch ablehnt — automatisierte Entscheidung.
  • Matching-Score bestimmt Sichtbarkeit: Wenn nur Kandidaten ab einem bestimmten Score dem Recruiter angezeigt werden — alle anderen werden de facto aussortiert, ohne dass ein Mensch sie je gesehen hat. Automatisierte Entscheidung.
  • CV-Parser bewertet Qualifikationen: Wenn der Parser automatisch „nicht qualifiziert" markiert und diese Bewerbungen in einen Ablehnungsstapel verschoben werden — automatisierte Entscheidung.

Der entscheidende Punkt: Es kommt nicht darauf an, ob theoretisch ein Mensch die Entscheidung überprüfen könnte. Es kommt darauf an, ob er es in der Praxis tatsächlich tut. Wenn Ihr Recruiter bei 500 Bewerbungen nur die Top 20 des Rankings ansieht und den Rest nie öffnet — dann hat die KI die Entscheidung getroffen, nicht der Mensch.

Was erlaubt ist — und was nicht

Art. 22 verbietet nicht den Einsatz von KI im Recruiting. Er verbietet ausschließlich automatisierte Einzelentscheidungen. Der Unterschied ist entscheidend:

Erlaubt: KI als Empfehlung (Human-in-the-Loop)

KI darf Kandidaten bewerten, ranken und Empfehlungen aussprechen — solange ein Mensch die finale Entscheidung trifft. Aber „finale Entscheidung" bedeutet nicht, blind das Ranking abzunicken. Der Mensch muss die Möglichkeit haben und nutzen, die KI-Empfehlung zu hinterfragen und zu überstimmen. Er muss Zugang zu den relevanten Daten haben, die die KI für ihre Bewertung herangezogen hat. Und er muss tatsächlich Bewerbungen ansehen, die die KI niedrig eingestuft hat.

Verboten: KI als Entscheider

Jedes System, das automatisch und ohne echte menschliche Prüfung Kandidaten aussortiert, ablehnt oder aus dem Prozess entfernt, verstößt gegen Art. 22 — es sei denn, eine der drei engen Ausnahmen greift: Vertragserfüllung, gesetzliche Ermächtigung oder ausdrückliche Einwilligung. Im Recruiting ist keine dieser Ausnahmen einfach zu erfüllen.

Der Praxistest: Fragen Sie sich ehrlich — hat in den letzten 30 Tagen ein Mensch in Ihrem Unternehmen eine KI-Empfehlung überstimmt und einen niedrig gerankten Kandidaten weiter im Prozess behalten? Wenn nein, haben Sie kein Human-in-the-Loop. Sie haben ein Feigenblatt.

EU AI Act 2025: Es wird noch strenger

Als ob Art. 22 DSGVO nicht genug wäre, kommt seit 2024 der EU AI Act hinzu. Und für Recruiting ist die Einstufung eindeutig: KI-Systeme, die für die Einstellung oder Auswahl von Personen verwendet werden, gelten als „Hochrisiko-KI-Systeme" (Annex III, Punkt 4a).

Was bedeutet „Hochrisiko" konkret?

  • Risikomanagement: Sie müssen ein dokumentiertes Risikomanagementsystem für Ihr KI-Tool einrichten. Nicht irgendwann. Jetzt.
  • Datenqualität: Trainingsdaten müssen relevant, repräsentativ und fehlerfrei sein. Wenn Ihre KI auf historischen Einstellungsdaten trainiert wurde, die einen Bias enthalten — und das tun sie fast immer — haben Sie ein Problem.
  • Transparenz: Nutzer des Systems (also Ihre Recruiter) müssen verstehen, wie die KI zu ihren Empfehlungen kommt. „Die KI hat entschieden" reicht nicht. „Die KI hat basierend auf den Faktoren X, Y und Z einen Score von 78 berechnet" — das ist die Mindestanforderung.
  • Menschliche Aufsicht: Es muss eine Person geben, die das System überwacht, Ergebnisse validiert und eingreifen kann. Nicht theoretisch. Praktisch.
  • Dokumentation: Vollständige technische Dokumentation des Systems, seiner Funktionsweise, seiner Grenzen und seiner Testverfahren. Können Sie das für Ihr CV-Parsing-Tool liefern?
  • Bias-Audits: Regelmäßige Überprüfung auf diskriminierende Muster. Bevorzugt Ihre KI bestimmte Universitäten? Benachteiligt sie Namen, die auf einen Migrationshintergrund hindeuten? Bewertet sie Karrierelücken bei Frauen anders als bei Männern?

Die Strafen unter dem AI Act kommen zu den DSGVO-Bußgeldern hinzu. Für Verstöße gegen die Hochrisiko-Anforderungen: bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes.

Was Sie JETZT tun müssen — eine Checkliste

Hören Sie auf zu hoffen, dass die Aufsichtsbehörden nicht bei Ihnen anklopfen. Handeln Sie. Jetzt.

1. Datenschutz-Folgenabschätzung (DSFA) durchführen

Art. 35 DSGVO schreibt eine DSFA vor, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte der Betroffenen birgt. KI im Recruiting ist ein Musterbeispiel dafür. Dokumentieren Sie: Welche Daten werden verarbeitet? Welche Entscheidungen werden automatisiert? Welche Risiken bestehen für Bewerber? Welche Maßnahmen ergreifen Sie zur Risikominimierung?

2. Transparenz für Kandidaten sicherstellen

Bewerber müssen wissen, dass KI in ihrem Bewerbungsprozess eingesetzt wird. Das gehört in Ihre Datenschutzerklärung — klar, verständlich und prominent. Nicht in Absatz 47 einer 15-seitigen Datenschutzerklärung, die niemand liest. Informieren Sie Kandidaten aktiv, idealerweise im Bewerbungsformular selbst. „In diesem Bewerbungsprozess wird KI eingesetzt, um Ihre Unterlagen mit dem Anforderungsprofil abzugleichen. Die finale Entscheidung trifft immer ein Mensch."

3. Opt-out ermöglichen

Kandidaten haben das Recht, einer automatisierten Verarbeitung zu widersprechen. Bieten Sie einen alternativen Bewerbungsweg an, der ohne KI-Screening auskommt. Ja, das ist aufwendiger. Nein, Sie können es sich nicht leisten, es nicht zu tun.

4. Erklärbarkeit sicherstellen

Wenn ein Kandidat fragt, warum er abgelehnt wurde, müssen Sie in der Lage sein, die Entscheidung nachvollziehbar zu erklären. „Unser Algorithmus hat Sie mit 62 von 100 Punkten bewertet" reicht nicht. Sie müssen erklären können, welche Faktoren in die Bewertung eingeflossen sind, wie sie gewichtet wurden und warum das zu einer Ablehnung geführt hat.

5. Bias-Monitoring einrichten

Überprüfen Sie regelmäßig — mindestens quartalsweise — ob Ihre KI diskriminierende Muster aufweist. Vergleichen Sie Annahme- und Ablehnungsquoten nach Geschlecht, Alter, Herkunft und anderen geschützten Merkmalen. Wenn Sie systematische Unterschiede finden, stoppen Sie das System, bis der Bias behoben ist.

6. Auftragsverarbeitung prüfen

Wenn Sie ein externes KI-Tool nutzen — und das tun die meisten — ist der Anbieter Ihr Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Sie brauchen einen Auftragsverarbeitungsvertrag (AVV). Prüfen Sie: Wo werden die Daten verarbeitet? Werden sie für das Training der KI verwendet? Wer hat Zugriff? Was passiert bei einer Datenpanne?

Checkliste für DSGVO-konforme KI im Recruiting

  • DSFA durchgeführt und dokumentiert? — Pflicht bei KI-gestütztem Recruiting.
  • Datenschutzerklärung aktualisiert? — Klare Information über KI-Einsatz.
  • Kandidaten aktiv informiert? — Im Bewerbungsformular, nicht nur in der Datenschutzerklärung.
  • Opt-out möglich? — Alternativer Bewerbungsweg ohne KI.
  • Human-in-the-Loop gewährleistet? — Echter Mensch prüft echte Bewerbungen.
  • Erklärbarkeit gegeben? — Entscheidungen sind nachvollziehbar und kommunizierbar.
  • Bias-Monitoring aktiv? — Regelmäßige Audits auf Diskriminierung.
  • AVV mit KI-Anbieter geschlossen? — Auftragsverarbeitung geregelt.
  • Löschfristen definiert? — Bewerberdaten werden nach Ablauf der Frist gelöscht.
  • Verantwortlicher benannt? — Eine Person ist zuständig für DSGVO-Konformität der KI-Systeme.

„Unwissenheit schützt nicht vor Strafe"

Das ist nicht nur ein Sprichwort. Es ist geltendes Recht. „Wir wussten nicht, dass unser CV-Parser automatisierte Entscheidungen trifft" ist keine Verteidigung. „Unser Anbieter hat uns versichert, dass alles DSGVO-konform ist" schützt Sie nicht — Sie sind der Verantwortliche, nicht Ihr Anbieter.

Die italienische Datenschutzbehörde hat 2023 ein Bußgeld von 5 Millionen Euro gegen ein Unternehmen verhängt, das einen KI-Algorithmus zur Bewertung von Arbeitnehmern einsetzte — ohne DSFA, ohne ausreichende Transparenz, ohne echtes Human-in-the-Loop. Das war kein Tech-Riese. Das war ein mittelständisches Unternehmen.

Fragen Sie sich: Wenn morgen ein abgelehnter Bewerber eine Beschwerde bei Ihrer Landesdatenschutzbehörde einreicht und fragt, ob Ihre KI automatisiert über seine Bewerbung entschieden hat — können Sie das sauber beantworten? Haben Sie die Dokumentation? Haben Sie die Prozesse? Wenn Sie jetzt zögern, haben Sie Ihre Antwort.

KI im Recruiting ist nicht das Problem. KI im Recruiting ohne Strategie ist das Problem. Lösen Sie es — bevor es jemand anderes für Sie löst. Und der „jemand anderes" hat die Befugnis, Bußgelder in Millionenhöhe zu verhängen.

Alle Artikel anzeigen
Weiterlesen

Weitere Artikel

Entdecken Sie mehr zum Thema Recruiting und HR.

DSGVO & Compliance

Entgelttransparenzrichtlinie 2026: Was sich für Ihr Recruiting ändert

Ab 2026 müssen Unternehmen in der EU Gehaltsspannen in Stellenanzeigen angeben. Was das für Ihr Recruiting bedeutet.

17. März 2026 Lesen
DSGVO & Compliance

Arbeitsrecht im Recruiting: Die 7 häufigsten Fehler und wie Sie sie vermeiden

Eine falsch formulierte Stellenanzeige kann 3 Monatsgehälter Entschädigung kosten. Diese 7 Fehler passieren täglich.

9. Dez. 2024 Lesen
DSGVO & Compliance

DSGVO im Recruiting: Was HR-Teams wirklich beachten müssen

Löschfristen, Einwilligungen, Auskunftsrecht — ein praxisnaher Guide zur DSGVO-konformen Bewerberverwaltung.

25. Juni 2024 Lesen

Bereit, Ihr Recruiting zu revolutionieren ?

Starten Sie noch heute Ihre kostenlose 14-Tage-Testversion. Keine Kreditkarte erforderlich.

Jetzt kostenlos testen Demo vereinbaren
14 Tage kostenlos Keine Kreditkarte Jederzeit kündbar